Uranium Finance, автоматизированная платформа маркет-мейкера в Binance Smart Chain, сообщила об инциденте с безопасностью, который привел к потере около 50 миллионов долларов.
Твиттер В среду Uranium сообщил, что эксплойт был нацелен на миграцию токена v2.1 и что команда связалась с командой безопасности Binance, чтобы смягчить ситуацию.
(1/2)‼ ️ Миграция урана была использована, в следующем адресе 50 млн. Единственное, что имеет значение, – это удержание средств на BSC, все, пожалуйста, начните писать этот адрес в Твиттере на Binance, немедленно прося их прекратить переводы.
– Урановые финансы (@UraniumFinance) 28 апреля 2021 г.
Сообщается, что хакер воспользовался ошибками в логике модификатора баланса Uranium, которые увеличили баланс проекта в 100 раз.
Сообщается, что эта ошибка позволила злоумышленнику украсть у проекта 50 миллионов долларов. На момент написания контракт, созданный хакером, все еще держит 36,8 миллиона долларов в Binance Coin (BNB) и Binance USD (BUSD).
Остальные украденные средства включают 80 биткойнов (BTC), 1800 эфиров (ETH), 26 500 Polkadot (DOT), 5,7 миллиона Tether (USDT), а также 638 000 Cardano (ADA) и 112 000 u92, собственную монету проекта.
Подробности из BscScan показывают, что злоумышленник обменивает токены ADA и DOT на ETH, увеличивая объем эфира примерно до 2400 ETH.
Между тем предполагаемый организатор кражи уже перевел 2400 ETH на сумму около 5,7 миллиона долларов с помощью инструмента обеспечения конфиденциальности Ethereum Tornado Cash.
Данные из службы мониторинга цепочки Ethereum Etherscan показывает, что средства перемещаются в суммах 100 ETH, с межсетевым децентрализованным обменным мостом AnySwap, используемым для миграции средств из BSC в сеть Ethereum.
Согласно Uranium, проект обратился к команде безопасности Binance, чтобы помешать хакеру вывести больше средств из экосистемы BSC.
Binance не сразу ответила на запрос Cointelegraph о комментарии. Представитель Uranium сообщил, что ошибка еще не исправлена, и пользователям посоветовали прекратить предоставлять ликвидность по проекту и обналичить свои средства.
Команда также создала группу Telegram для жертв взлома, пообещав предоставлять обновленную информацию о ходе восстановления украденных средств.
Взлом в среду – это вторая атака на проект Uranium в быстрой последовательности. Ранее в апреле хакеры взломали один из пулов платформы, похитив около 1,3 миллиона долларов стоит BUSD и BNB.
Действительно, инцидент привел к первой миграции на v2 менее двух недель назад. В предыдущем объявление, команда разработчиков Uranium сообщила, что несколько организаций проверили ее контракты по версии 2 и извлекли уроки из своих предыдущих ошибок.
Между тем, ходят слухи о том, была ли атака внутренней работой, учитывая внезапное решение разработать еще одно обновление версии всего через 11 дней после завершения миграции на v2.
Сегодня @UraniumFinance получил рект. Разработчики Uranium только что развернули v2 своих контрактов и 11 дней спустя попросили всех перейти на v2.1. Довольно странное время для обновления, правда?
Вот как сработала ошибка. ⬇️
– Кайл “1Б ТВЛ” Кистнер | Точка опоры | bZx (@ BeTheb0x) 28 апреля 2021 г.
Взломы, связанные с ошибками смарт-контрактов, являются обычным явлением на арене децентрализованного финансирования даже для полностью проверенных проектов – как это было в случае с MonsterSlayer Finance ранее в апреле. Еще в марте Meerkat, клон Yearn.finance на BSC, как сообщается, «обманывал» своих пользователей, украв при этом 31 миллион долларов.
Несколько дней спустя команда разработчиков проекта показала, что предполагаемое «вытаскивание коврика» было испытанием, в то же время излагая планы возврата средств. TurtleDex, еще один проект, основанный на BSC, также подвергся мошенничеству с выходом вскоре после его запуска, потратив более 9000 токенов BNB, собранных во время предварительной продажи.